Abilita e utilizza Valutazione delle vulnerabilità per AWS

Questa pagina descrive come configurare e utilizzare Valutazione delle vulnerabilità per Amazon Web Services (AWS) completamente gestito di Google Cloud.

Prima di iniziare

Per abilitare il servizio Valutazione delle vulnerabilità per AWS, sono necessarie alcune Le autorizzazioni IAM e Security Command Center devono essere connessi a AWS.

Ruoli e autorizzazioni

Per completare la configurazione del servizio Valutazione delle vulnerabilità per AWS: devi disporre dei ruoli con le autorizzazioni necessarie Google Cloud e AWS.

Ruoli Google Cloud

Assicurati di disporre dei seguenti ruoli nell'organizzazione: Security Center Admin Editor (roles/securitycenter.adminEditor)

Verifica i ruoli

1. Nella console Google Cloud, vai alla pagina IAM.

   Vai a IAM
2. Seleziona l'organizzazione.

3. Nella colonna Entità, individua la riga contenente il tuo indirizzo email.

   Se il tuo indirizzo email non è in questa colonna, significa che non disponi di alcun ruolo.

4. Nella colonna Ruolo per la riga contenente il tuo indirizzo email, controlla se l'elenco dei ruoli include quelli richiesti.

Concedi i ruoli

1. Nella console Google Cloud, vai alla pagina IAM.

   Vai a IAM
2. Seleziona l'organizzazione.
3. Fai clic su person_add Concedi l'accesso.
4. Nel campo Nuove entità, inserisci il tuo indirizzo email.
5. Nell'elenco Seleziona un ruolo, scegli un ruolo.
6. Per concedere altri ruoli, fai clic su add Aggiungi un altro ruolo e aggiungi ciascun ruolo aggiuntivo.
7. Fai clic su Salva.

Ruoli AWS

In AWS, un utente amministrativo AWS deve creare l'account AWS che si l'abilitazione delle scansioni.

Per creare un ruolo Valutazione delle vulnerabilità in AWS, segui questi passaggi:

1. Utilizzando un account utente amministrativo AWS, vai a Pagina Ruoli IAM nella console di gestione AWS.
2. Seleziona lambda dal menu Service or Use Case.

3. Aggiungi i seguenti criteri di autorizzazione:

   • AmazonSSMManagedInstanceCore
   • AWSLambdaBasicExecutionRole
   • AWSLambdaVPCAccessExecutionRole

4. Fai clic su Aggiungi autorizzazione > Crea Criterio in linea per creare un nuovo criterio di autorizzazione:

   1. Apri la pagina seguente e copia il criterio: Criterio del ruolo per la valutazione delle vulnerabilità per AWS.
   2. Incolla il criterio nell'Editor JSON.
   3. Specifica un nome per il criterio.
   4. Salva il criterio.

5. Apri la scheda Relazioni di attendibilità.

6. Incolla il seguente oggetto JSON, aggiungendolo a qualsiasi oggetto esistente array di istruzioni:

   {
     "Version": "2012-10-17",
     "Statement": [
        {
              "Sid": "Statement1 or replace with a unique statementId",
              "Effect": "Allow",
              "Principal": {
                 "Service": "cloudformation.amazonaws.com"
              },
              "Action": "sts:AssumeRole"
        }
     ]
   }
   

7. Salva il ruolo.

Assegnerai questo ruolo in un secondo momento, quando installi il modello CloudFormation su AWS.

Verifica che Security Command Center sia connesso ad AWS

Il servizio Valutazione delle vulnerabilità per AWS richiede l'accesso all'inventario delle risorse AWS conservate da Cloud Asset Inventory quando Security Command Center è connesso ad AWS per il rilevamento delle vulnerabilità.

Se non è ancora stata stabilita una connessione, devi configurarne una quando abiliti il servizio Valutazione delle vulnerabilità per AWS.

Per configurare una connessione, consulta: Connettiti ad AWS per il rilevamento delle vulnerabilità e la valutazione del rischio.

Abilita la valutazione delle vulnerabilità per AWS

Per abilitare la valutazione delle vulnerabilità per AWS, devi creare un ruolo AWS IAM in sulla piattaforma AWS, abilitare il servizio Vulnerability Assessment per AWS in Security Command Center, quindi esegui il deployment di un modello CloudFormation su AWS.

Abilita la valutazione delle vulnerabilità per AWS in Security Command Center

La valutazione delle vulnerabilità per AWS deve essere abilitata su Google Cloud a livello di organizzazione.

1. Vai alla pagina Impostazioni in Security Command Center:

   Vai alle impostazioni

2. Seleziona l'organizzazione in cui devi abilitare la valutazione delle vulnerabilità per AWS. Si apre la scheda Servizi della pagina Impostazioni.

3. Nella scheda di servizio Valutazione della vulnerabilità, fai clic su Gestisci impostazioni. Si apre la pagina Valutazione della vulnerabilità.

4. Seleziona la scheda AWS.

5. Nel campo Stato in Attivazione del servizio, seleziona Abilita.

6. In Connettore AWS, controlla lo Stato della connessione.

   • Se lo stato della connessione è Configurato, vai al passaggio successivo.
   • Se lo stato della connessione è Non configurato, prima di procedere al passaggio successivo, configura il connettore facendo clic Aggiungi il connettore AWS. Per istruzioni, vedi Connettiti ad AWS per il rilevamento delle vulnerabilità e la valutazione del rischio.

7. In Impostazioni scansione, fai clic su Scarica modello CloudFormation. Un modello JSON viene scaricato sulla workstation. Devi eseguire il deployment il modello in ogni account AWS di cui occorre analizzare le vulnerabilità.

Esegui il deployment del modello AWS CloudFormation

1. Vai al modello CloudFormation AWS nella console di gestione AWS.
2. Fai clic su Impilati > Con nuove risorse (standard).
3. Nella pagina Crea stack, seleziona Scegli un modello esistente e Carica un file modello per caricare il modello CloudFormation.
4. Al termine del caricamento, inserisci un nome univoco per lo stack. Non modificare qualsiasi altro parametro nel modello.
5. Seleziona Specifica i dettagli dello stack. Viene visualizzata la pagina Configura le opzioni dello stack.
6. In Autorizzazioni, seleziona la IAM Vulnerability Assessment Role che hai creato in precedenza.
7. Fai clic su Avanti.
8. Seleziona la casella per l'accettazione.
9. Fai clic su Invia per eseguire il deployment del modello. Lo stack richiede alcuni minuti per iniziare a correre.

Lo stato del deployment viene visualizzato nella console AWS. Se Il deployment del modello CloudFormation non riesce, consulta Risoluzione dei problemi.

Una volta avviata l'esecuzione delle scansioni, se vengono rilevate delle vulnerabilità, i risultati corrispondenti vengono generati e visualizzati in Security Command Center Risultati nella console Google Cloud.

Esamina i risultati nella console Google Cloud

Puoi visualizzare la valutazione delle vulnerabilità per i risultati di AWS nella console Google Cloud. Il ruolo IAM minimo necessario per visualizzare i risultati è Visualizzatore risultati Centro sicurezza (roles/securitycenter.findingsViewer).

Per rivedere la valutazione delle vulnerabilità per i risultati di AWS nella console Google Cloud, segui questi passaggi passaggi:

1. Vai alla pagina Risultati di Security Command Center:

   Vai a Risultati

2. Se necessario, seleziona il progetto o l'organizzazione Google Cloud.

   

3. Nella sezione Filtri rapidi, nella sottosezione Nome visualizzato origine, Seleziona Valutazione delle vulnerabilità EC2.

   Il riquadro Risultati della query dei risultati è stato aggiornato in modo da mostrare solo Valutazione delle vulnerabilità per risultati AWS.

4. Per visualizzare i dettagli di un risultato specifico, fai clic sul suo nome sotto Categoria. Il riquadro dei dettagli del risultato si espande per mostrare un riepilogo dei dettagli del risultato.

Disabilita la valutazione delle vulnerabilità per AWS

Per disabilitare il servizio Valutazione delle vulnerabilità per AWS, devi disabilitarlo in Security Command Center ed eliminare lo stack che contiene CloudFormation in AWS. Se lo stack non viene eliminato, continuano a comportare costi in AWS.

Completa i seguenti passaggi per disabilitare la valutazione delle vulnerabilità per AWS:

1. Vai alla pagina Impostazioni in Security Command Center:

   Vai alle impostazioni

2. Seleziona l'organizzazione in cui devi abilitare la valutazione delle vulnerabilità per AWS. Si apre la scheda Servizi della pagina Impostazioni.

3. Nella scheda di servizio Valutazione della vulnerabilità, fai clic su Gestisci impostazioni.

4. Nel campo Stato in Attivazione del servizio, seleziona Disattiva.

5. Vai al modello CloudFormation AWS nella console di gestione AWS.

6. Elimina lo stack che contiene il modello CloudFormation per Valutazione delle vulnerabilità per AWS

   Se non vengono eliminate, potrebbero essere addebitati costi inutili.

Risoluzione dei problemi

Se hai abilitato il servizio Valutazione delle vulnerabilità per AWS, ma le scansioni non vengono eseguite, controlla quanto segue:

• Verifica che il connettore AWS sia configurato correttamente.
• Verifica che il deployment dello stack di modelli CloudFormation sia completo. È nell'account AWS deve essere CREATION_COMPLETE.